שירותים מקצועיים · ישראל · פרטיות והגנת מידע

לחוק הפרטיות הישראלי צמחו שיניים.

תיקון 13 לחוק הגנת הפרטיות בישראל נכנס לתוקף ב־14 באוגוסט 2025 — השכתוב המקיף ביותר של משטר הגנת המידע במדינה מאז 1981. הרשות להגנת הפרטיות (רה"פ) מוסמכת מעתה להטיל עיצומים כספיים בגובה מיליוני שקלים, לחייב מינוי חובה של ממונה הגנת פרטיות (DPO), להורות על הפסקת עיבוד מידע ולפתוח בחקירות פליליות.

תקציר

מה כואב מעסיקים ישראלים, מרפאות וחברות פינטק נמצאים תחת משטר פרטיות חדש עם עיצומים בגובה מיליוני שקלים ומינוי חובה של ממונה הגנת פרטיות (DPO).
סדר הגודל בתוקף מ־14 באוגוסט 2025. תביעות אזרחיות של 100,000 ש"ח (שקל חדש, ≈€25,000) לכל יחיד שנפגע; קנסות מנהליים מגיעים למיליוני שקלים.
למה סטארטאפים מנצחים מכירת DPO כשירות לצד SaaS (תוכנה כשירות) לניהול הסכמות ולמיפוי מידע במודל של ריטיינר חודשי לחברות מהמגזר הבינוני בישראל המחויבות לראשונה למנות ממונה פרטיות. 3 חברות שירותים מקצועיים בישראל קוטלגו להלן — כל אחת אומתה כמשווקת את עצמה בנישה זו.

01הכאב

ב־14 באוגוסט 2025 השתנה משטר הפרטיות לחברות הישראליות בן לילה. חברת פינטק ברמת גן עם 80,000 רשומות משתמשים. מרפאה בפתח תקווה עם שתים־עשרה שנות תיקי מטופלים. חברת תוכנה עסקית בתל אביב העוקבת אחר הרשמות לתקופות ניסיון. תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף באותו יום, השכתוב המקיף ביותר של כללי הגנת המידע בישראל מאז 1981, ומקנה לרשות להגנת הפרטיות (רה"פ, הרגולטור הישראלי להגנת מידע) את הסמכות להטיל עיצומים כספיים המגיעים למיליוני שקלים ולחייב מינוי ממונה הגנת פרטיות (DPO) בכל ארגון שפעילות הליבה שלו כוללת עיבוד בקנה מידה רחב או ניטור שיטתי.¹

נטל הציות נוחת כקצב חוזר: עשר חובות נפרדות הכוללות עדכון שנתי של הגדרות מאגרי מידע, סקירת נהלי אבטחה, מבחני חדירה אחת ל־18 חודשים, סקירות אירועים רבעוניות, רענון טפסי הסכמה, מיפוי זרימת מידע על פני מערכות משאבי אנוש (HR) ויישומי ענן, הדרכת עובדים, הסכמי ספקים ודיווח אירועי אבטחה לרה"פ.² קנסות מנהליים מגיעים למיליוני שקלים בגין הפרות מידע רגיש או מאגרים גדולים; תביעות אזרחיות מצטברות לכדי 100,000 ש"ח (שקל חדש, ≈€25,000) לכל יחיד שנפגע, מעבר לכך.⁴ אי־ביצוע אפילו של הערכת סיכונים אחת או של מבחן חדירה בלבד עולה 320,000 ש"ח (≈€80,000) להפרה.³

חברות בריאות, פינטק וחברות HR-tech מקבלות את הטיפול המחמיר ביותר, מאחר שהן מחזיקות מידע ביומטרי, פיננסי ומידע על עובדים בקנה מידה גדול. הרה"פ מוסמכת גם להורות על הפסקת עיבוד מידע ולפתוח בחקירות פליליות. כיסא ה־DPO אינו עוד בגדר המלצה.⁴

בתוקף מ־14 באוגוסט 2025. 320,000 ש"ח (~€80,000) על כל הערכת סיכונים שלא בוצעה.³

"התיקון מעניק לרה"פ גם את הסמכות להטיל קנסות כבדים, להורות על הפסקת עיבוד מידע ולנהל חקירות פליליות." — IAPP, "ישראל פותחת עידן חדש בחוק הפרטיות: תיקון 13 מביא רפורמה מקיפה", 2025

קריאה נוספת

¹ IAPP — "ישראל פותחת עידן חדש בחוק הפרטיות: תיקון 13 מביא רפורמה מקיפה" (מועד תחילת התוקף, סמכויות הרה"פ, חובת ה־DPO, אנגלית): iapp.org
² גורניצקי ושות' — "הגנת הפרטיות ב־2025: 10 צעדים לניווט יישום החובות" (קצב הציות בן 10 הסעיפים, אנגלית): gornitzky.com
³ BigID — "מה משמעות תיקון 13 בישראל לעסקים בשנת 2025" (סכום של 320,000 ש"ח להפרה בגין אי־ביצוע הערכת סיכונים, יכולות ציות שהספק משווק בעצמו, אנגלית): bigid.com
⁴ Safetica — "תיקון 13 בישראל: מה משמעות חוק הגנת המידע החדש לעסק שלכם" (טווח קנסות מנהליים במיליוני שקלים, סכום תביעה אזרחית של 100,000 ש"ח, חשיפה ענפית, אנגלית): safetica.com

02מי פותר את זה כיום

שלושה ספקים ומשרדים שמזכירים בעצמם את תיקון 13 הישראלי (או את חוק הגנת הפרטיות / חובת ה־DPO בישראל) בעמודיהם — המסלול שמעסיק ישראלי מהמגזר הבינוני באמת לוקח כשיועצו המשפטי מחזיר אליו את השאלה "את מי שוכרים?". כל אחד נבדק חי במועד הכתיבה. הרשימה צרה במכוון.

BigID

פלטפורמת גילוי מידע ופרטיות. מפרסמת עמוד ייעודי "כיצד BigID מסייעת בעדכוני הפרטיות החדשים בישראל" העוסק בלוחות בקרה ל־DPO, רישומי הסכמות, הערכת סיכוני AI ודיווח אירועי אבטחה לרה"פ.

bigid.com

Safetica

ספק מניעת אובדן מידע (DLP) וסיווג מידע. מפיץ מדריך ייעודי לתיקון 13 המציע גילוי אוטומטי של מידע רגיש בנקודות קצה, ביישומי ענן ובאחסון לארגונים ישראליים.

safetica.com

Pearl Cohen Zedek Latzer Baratz

משרד עורכי דין ישראלי. עמוד תחום הפרטיות והסייבר משווק במפורש "תוכניות ארגוניות מותאמות אישית ללקוחות לצורך התיישרות עם תיקון 13 לחוק הגנת הפרטיות הישראלי".

pearlcohen.com

הספקים הרשומים משווקים את עצמם בפומבי בעמודיהם בנישת תיקון 13 הישראלי / ממונה הגנת פרטיות בישראל / ציות לחוק הפרטיות הישראלי. הכללה אינה המלצה. ספקים ומשרדים סמוכים נשקלו והוצאו במקומות שבהם דף הבית הציבורי שלהם לא מזכיר במפורש את הנישה במועד הכתיבה — OneTrust (onetrust.com) החזיר HTTP 200 אך דף הבית שיווק רק ציות גנרי ל־GDPR / DORA / חוק ה־AI של האיחוד האירופי ללא התייחסות לחוק הישראלי, ולכן הוצא בהתאם לכלל איזכור־הנישה־בדף־הבית; Securiti.ai (securiti.ai) החזיר HTTP 200 אך דף הבית מנה רק GDPR / CPRA / LGPD / PIPEDA / PIPL / חוק ה־AI של האיחוד ולא נקב באף רגולציה ישראלית, ולכן הוצא (ניסיון ב־URL של בלוג תיקון 13 החזיר HTTP 404); DataGuard (dataguard.com) החזיר HTTP 200 אך דף הבית כיסה GDPR / ISO 27001 / TISAX / NIS2 / חוק ה־AI של האיחוד ללא קו שירות ייעודי לישראל, ולכן הוצא; הרצוג פוקס נאמן (herzoglaw.co.il) החזיר HTTP 404 ב־URL של תחום סייבר־הגנת מידע ופרטיות שנבדק והנישה לא ניתנה לאימות ברמת דף הבית, ולכן הוצא עד לבדיקה נוספת; גורניצקי ושות' (gornitzky.com) החזיר HTTP 404 ב־URL של תחום סייבר־פרטיות והגנת מידע שנבדק והאיזכור בדף הבית לא ניתן לאימות, ולכן המשרד מוזכר בסעיף 01 כמחבר מדריך 10 הצעדים המעשי המצוטט ולא רשום כספק פתרון צד שלישי; Cookiebot / Usercentrics, ComplyCloud, Cyberint, Komrad, ITGRC, גולדפרב זליגמן, FBC ו־Gross GKH נשקלו אך לא העלו עמוד שירות ציבורי לתיקון 13 / DPO ישראלי בדף הבית במועד הכתיבה או שלא ניתן היה לאמתם, ולכן כולם הוצאו עד לבדיקה נוספת. הרשות להגנת הפרטיות — הרגולטור המפרסם את הנחיות תיקון 13 והודעות האכיפה — מוזכרת בסעיף 01 כקובעת הכללים ולא רשומה כפתרון צד שלישי. IAPP, גורניצקי ושות', BigID ו־Safetica מצוטטים בסעיף 01 גם כמקורות ייעוץ ועיתונות מקצועית; BigID ו־Safetica משמשים גם כספקי פתרון משום שמשאבי החזית שלהם משווקים בעצמם יכולות ספציפיות של תיקון 13.

חברות רשומות — נהלו את ההכללה שלכם. אם אתם אחד הספקים לעיל ומשהו כאן שגוי, חסר או מיושן — או שאתם מעדיפים לא להופיע ברשימה — כתבו אלינו. הסרה תוך 24 שעות; תיקונים תוך 7 ימי עסקים. איננו פונים תחילה לחברות הרשומות; אנו מפרסמים את מה שהשיווק הציבורי שלכם טוען, ומגיבים כשאתם פונים אלינו. דוא"ל contact@aikraft.com.